Vulnerabilidades críticas en el complemento Fluent Forms de WordPress

Fluent Forms, un popular complemento de WordPress con más de 400,000 instalaciones activas presenta múltiples vulnerabilidades de seguridad críticas que ponen en riesgo a los sitios web. Estas fallas varían desde secuencias de comandos entre sitios (XSS) hasta acceso no autorizado y escalada de privilegios, permitiendo potencialmente a los atacantes comprometer sitios web y robar datos confidenciales.

  • CVE-2024-2771 (CVSS 9.8): Falta de autorización para actualizar la configuración y escalar privilegios. Esta falla crítica permite a atacantes no autenticados concederse a sí mismos o a otros, acceso administrativo al complemento Fluent Forms, permitiéndoles manipular configuraciones y datos.
  • CVE-2024-2782 (CVSS 7.5): Falta de autorización para la manipulación de configuración. Esta vulnerabilidad permite a atacantes no autenticados modificar todas las configuraciones del complemento, lo que podría alterar la funcionalidad del sitio web o permitir más actividades maliciosas.
  • CVE-2024-4709 (CVSS 7.2): Esta vulnerabilidad permite a atacantes con permisos de nivel de colaborador o superior inyectar scripts maliciosos en páginas web, que luego pueden ejecutarse cuando los usuarios visitan esas páginas.

Productos y versiones afectadas:

  • Fluent Forms: Todas las versiones anteriores a la 5.1.17.

Solución:

  • Actualizar Fluent Forms a la versión 5.1.17, que soluciona las tres vulnerabilidades mencionadas y mitiga el riesgo de explotación.

Recomendaciones:

  • Actualizar Fluent Forms inmediatamente a la última versión disponible.
  • Revisar y ajustar cuidadosamente los permisos de los usuarios para limitar el acceso a funciones críticas.
  • Monitorear activamente el sitio web para detectar cualquier actividad sospechosa.

Referencias: